技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于CONNTRACK同步的防火墻雙機(jī)熱備系統(tǒng)。

背景技術(shù)

防火墻是位于網(wǎng)絡(luò)邊界防范網(wǎng)絡(luò)攻擊的屏障，是可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)進(jìn)行聯(lián)絡(luò)的唯一紐帶。防火墻系統(tǒng)的可靠性直接關(guān)系著整個(gè)受保護(hù)網(wǎng)絡(luò)的可用性，所以必須利用相關(guān)技術(shù)為它提供數(shù)據(jù)通道的冗余。目前，當(dāng)網(wǎng)絡(luò)中的防火墻沒有發(fā)生故障時(shí)，防火墻可以起到保護(hù)整個(gè)網(wǎng)絡(luò)的安全運(yùn)行的作用，但當(dāng)防火墻本身或其他線路發(fā)生故障時(shí)，這種保護(hù)便無從談起。本發(fā)明對(duì)這類故障提出了解決方案，基于CONNTRACK同步原理，在兩臺(tái)防火墻同時(shí)啟動(dòng)熱備功能后，當(dāng)一臺(tái)防火墻在CONNTRACK表中產(chǎn)生一條新的CONNTRACK記錄時(shí)，防火墻會(huì)將這條記錄通過連接兩個(gè)防火墻的心跳線發(fā)送到另一臺(tái)防火墻上，這樣當(dāng)一臺(tái)防火墻出現(xiàn)故障而不能正常運(yùn)行時(shí)，自動(dòng)切換到另一臺(tái)防火墻，從而保證網(wǎng)絡(luò)環(huán)境正常有效運(yùn)行。當(dāng)故障恢復(fù)后，會(huì)自動(dòng)切換到原來的防火墻，從而實(shí)現(xiàn)兩臺(tái)防火墻之間的相互熱備。

發(fā)明內(nèi)容

本發(fā)明的目的在于，針對(duì)當(dāng)前網(wǎng)絡(luò)系統(tǒng)中的防火墻缺乏熱備功能，在防火墻或與防火墻連接的網(wǎng)絡(luò)出現(xiàn)故障時(shí)，網(wǎng)絡(luò)安全性無法有效保障的問題，提出一種基于CONNTRACK同步的防火墻雙機(jī)熱備系統(tǒng)。

本發(fā)明的技術(shù)方案是，一種基于CONNTRACK同步的防火墻雙機(jī)熱備系統(tǒng)，其特征是所述系統(tǒng)由第一防火墻和第二防火墻組成；其中，

第一防火墻1與第二防火墻2通過心跳線15連接，實(shí)現(xiàn)CONNTRACK同步；

第一防火墻1包括第一網(wǎng)絡(luò)接口3和第二網(wǎng)絡(luò)接口4，第一網(wǎng)絡(luò)接口3通過網(wǎng)線接入不可信網(wǎng)絡(luò)；第二網(wǎng)絡(luò)接口4通過網(wǎng)線接入可信網(wǎng)絡(luò)；

第二防火墻2包括第三網(wǎng)絡(luò)接口5和第四網(wǎng)絡(luò)接口6，第三網(wǎng)絡(luò)接口5通過網(wǎng)線接入不可信網(wǎng)絡(luò)；第四網(wǎng)絡(luò)接口6通過網(wǎng)線接入可信網(wǎng)絡(luò)；

所述第一防火墻1與第二防火墻2采用主備方式的雙機(jī)熱備或者主主方式的雙機(jī)熱備；

所述主備方式的雙機(jī)熱備，以第一防火墻1為主防火墻，第二防火墻2為備份防火墻；或者以第二防火墻2為主防火墻，第一防火墻1為備份防火墻；

所述主主方式的雙機(jī)熱備，以第一防火墻1為主防火墻，第二防火墻2也為主防火墻，兩個(gè)防火墻各自獨(dú)立工作的同時(shí)進(jìn)行相互備份。

所述第一防火墻1的第一網(wǎng)絡(luò)接口3與所述第二防火墻2的第三網(wǎng)絡(luò)接口5接入相同的不可信網(wǎng)絡(luò)。

所述第一防火墻1的第二網(wǎng)絡(luò)接口4與所述第二防火墻2的第四網(wǎng)絡(luò)接口6接入相同的可信網(wǎng)絡(luò)。

本發(fā)明的效果在于，當(dāng)與防火墻連接的網(wǎng)絡(luò)或者防火墻網(wǎng)絡(luò)接口出現(xiàn)故障時(shí)，由于兩個(gè)防火墻間會(huì)話信息始終保持一致，因此系統(tǒng)也能正確地進(jìn)行狀態(tài)檢查和流量轉(zhuǎn)發(fā)，從而保證網(wǎng)絡(luò)應(yīng)用的會(huì)話不會(huì)發(fā)生中斷，進(jìn)而確保網(wǎng)絡(luò)的安全性和可靠性。

附圖說明

圖1是基于CONNTRACK同步的防火墻雙機(jī)熱備系統(tǒng)的結(jié)構(gòu)示意圖。

圖2是本發(fā)明提供的實(shí)施例的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面結(jié)合附圖，對(duì)優(yōu)選實(shí)施例作詳細(xì)說明。應(yīng)該強(qiáng)調(diào)的是，下述說明僅僅是示例性的，而不是為了限制本發(fā)明的范圍及其應(yīng)用。

圖1是基于CONNTRACK同步的防火墻雙機(jī)熱備系統(tǒng)的結(jié)構(gòu)示意圖。圖1中，第一防火墻1與第二防火墻2通過心跳線15連接，第一防火墻的第一網(wǎng)絡(luò)接口3和第二防火墻的第三網(wǎng)絡(luò)接口5通過網(wǎng)線接入相同的不可信網(wǎng)絡(luò)，第一防火墻1的第二網(wǎng)絡(luò)接口4和第二防火墻2的第四網(wǎng)絡(luò)接口6通過網(wǎng)線接入相同的可信網(wǎng)絡(luò)。

當(dāng)兩臺(tái)防火墻同時(shí)啟動(dòng)熱備功能后，一臺(tái)防火墻在CONNTRACK表中產(chǎn)生一條新的CONNTRACK記錄時(shí)，會(huì)觸發(fā)CONNTRACK同步函數(shù)，這個(gè)函數(shù)將這條記錄通過連接兩個(gè)防火墻的心跳線發(fā)送到另一臺(tái)防火墻上，實(shí)現(xiàn)CONNTRACK表的同步。

當(dāng)?shù)谝环阑饓?與第二防火墻2以主備方式進(jìn)行防火墻雙機(jī)熱備時(shí)，網(wǎng)絡(luò)數(shù)據(jù)通過主防火墻在可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間進(jìn)行傳輸。同時(shí)，備份防火墻會(huì)對(duì)對(duì)端的主防火墻的CONNTRACK表進(jìn)行同步，在備份防火墻上形成同步CONNTRACK表；當(dāng)數(shù)據(jù)路由到防火墻后，防火墻會(huì)檢測(cè)此連接所在的CONNTRACK表，當(dāng)確定數(shù)據(jù)所屬連接屬于同步CONNTRACK表后，再根據(jù)對(duì)端的備份防火墻的網(wǎng)口的狀態(tài)決定是否將數(shù)據(jù)通過心跳線進(jìn)行轉(zhuǎn)發(fā)。若不屬于同步CONNTRACK表，則按照正常路由進(jìn)行轉(zhuǎn)發(fā)。